Une évolution naturelle vers le provisioning

D'abord pensé pour agréger des sources de données hétérogènes, le méta-annuaire a évolué pour embrasser des fonctions de haut niveau telles que le workflow et le self-service. Au point que les méta-annuaires de première génération, aux fonctions d'intégration technique, sont remplacés par les progiciels d'allocation automatique de ressources (ou provisioning). Les deux générations d'outils ont des points communs. Elles se fondent sur l'établissement de référentiels d'identités centralisés, consolidant des données remontées, en totalité ou partiellement, depuis des sources d'identités comme les annuaires LDAP, les serveurs de messagerie, les PGI, ou les bases de données des PABX. Elles sont en mesure de propager, en mode quasi synchrone ou asynchrone, les mises à jour de données des applications sources ou du référentiel central.

Les connecteurs soignés avec attention

Pour assurer ces opérations de synchronisation, ces deux générations d'outils s'interfacent avec les applications sources via des connecteurs bidirectionnels. Lesquels mettent en ?"uvre des mécanismes de publication et d'abonnement. Avec le temps, des ateliers de modélisation graphique et de paramétrage pour définir les schémas de mapping et de filtrage, les règles de traitement conditionnels et les ordres de séquencement des actions sont venus les compléter. Mais, jusque-là, il était peu question de provisioning. La compétition commerciale portait surtout sur la qualité des connecteurs. Aujourd'hui, la richesse de leur catalogue, leurs performances, même la fourniture de kits de développement de connecteurs spécifiques, restent des arguments concurrentiels importants. La synchronisation de sources de données multiples est un problème complexe. Les méta-annuaires devaient donc faire preuve d'évolutivité.

Tenir compte du facteur humain

Mais cette évolutivité qui leur est demandée ne s'arrête pas à l'intégration technique. Pour exploiter efficacement les données d'identité, encore faut-il prendre en compte les interactions humaines. La première vague de moteurs de provisioning a, en conséquence, eu le mérite d'automatiser de nombreuses fonctions de gestion du cycle de vie des identités ?" création et modification de comptes, circuits d'habilitation et d'approbation, etc. Indiquant ainsi la voie qu'allaient suivre les leaders de la gestion des identités. Par exemple, Novell a évolué en cinq ans d'une simple passerelle XML ?" DirXML, en l'occurrence ?" vers un atelier complet de provisioning, Novell Identity Manager, dont la version 3 a été dotée, entre autres, d'un moteur de workflow et d'un studio de modélisation. Oracle illustre, lui aussi, parfaitement l'évolution du marché. L'éditeur de l'annuaire OID (Oracle Internet Directory) n'avait pas pénétré le marché des méta-annuaires. Tout au plus celui-ci proposait-il quelques connecteurs pour interfacer OID avec d'autres annuaires sources. Il s'est rattrapé en acquérant, à la fin 2005, la société Thor Technologies, qui lui a apporté le progiciel de provisioning Xellerate.L'évolution des technologies d'intégration des référentiels d'identités ne devrait pas s'arrêter au workflow. Pour gérer plus finement les comptes utilisateurs, on en vient en effet aussi à recourir aux moteurs de règles. Sur ce point, la gestion des identités connaît une mutation assez semblable à celle des disciplines de l'EAI et du BPM.